信息安全测评服务解决方案建议书课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,XX,集团,信息安全自主测评,提案书,问题,机遇,对策,蓝图,来自外部机构的抽样检查和咨询覆盖范围有限，在时间上和范围上存在盲区,现有模式难以为提供及时、全面、准确、直观的信息安全基础情报,有待进一步构筑、实施和完善全面、常态、持续的安全绩效评价体系,管理,内部与外部均缺少具有华能专业技术同时具备信息安全理论的跨界型人才,很多下属单位还没有设立专职岗位或者没有明确职责，不利于工作职责分担,信息安全管理内生人才的培养，相对目前安全投资的发展速度有所滞后,体制,面向网络、服务器的具体信息安全情报不宜直接向非本单位直接披露,多而散的子系统需要统一的安全管理界面,未经整理、归纳的专业信息安全情报细节不易理解和把握整体规律性,安全信息与本单位专业和运营历史紧密相关，需要不断积累与沉淀,支撑工具,问题,机遇,对策,蓝图,机遇,在十二五期间国家对于信息安全,的重视程度进一步提高，压力与投资双增长,随着等保工作的开展，华能在安全管理方面积累了很多业务经验,双网模式的成功实施，为华能进一步实施自我测评计划奠定了,物质,基础,各种系统特别是,SOC,的试点，为自动化采集全网各种安全信息打下良好开端,相关,IT,技术的成熟,风险管理,|,自主评测,|,安全运维的关系,1,、自主评测是检验安全运维水平的标准，是连接安全运维与风险管理的纽带,2,、安全运维工作的结果通过自主评测过滤、汇总到风险管理层面，并为进一步的安全工作提供分析和改善的基础,3,、安全运维数据量大，同时有保密要求，不宜直接暴露到外部，通过自主评测的中间层更好。,4,、安全,运维体系是整个安全体系的技术基础。在实现上必须以风险管理为导向，以技术为手段，构筑多层次大纵深的防御体系。同时，对于安全全局信息的把握，会进一步发现薄弱环节，提高安全水平,风险管理是安全运维的指导方针。风险管理基于成本,-,效益原则，对客户资产进行分级，评估安全风险的可能性与严重性，从而可以有区别地进行安全防范和安全投入，提高整体安全水平,1,、风险管理是合规工作的外部标准，具有强制性、稳定性和原则性。自主评测是华能集团内部对于风险管理工作的细化、深化，形成有具有华能特色的安全检查标准体系,2,、风险管理是阶段性工作，而自主评测是长期性工作。风险管理为自主评测提供理论基础和方法指引，自主评测为风险管理提供组织、流程、方法和验证材料,安全运维,合规与遵从,风险,管理,问题,机遇,对策,蓝图,引入协作单位，建立,自主,测评体系,包含知识库和,BI,的合规与遵从系统,Staff,服务,信息安全咨询,体系化服务,专业人员,教育服务,e-Business Transformation,信息安全工作,持续发展要求,专业人员不足,协作单位,在信息中心领导下，协作单位咨询顾问协助设计,安全绩效评价,体系,各有关单位和协作单位的实施、运维人员一起全面配合体系落地,根据国际国内标准和监查要求，建立常态化、标准化的信息安全,PDCA,过程,管理,引入协作,单位进行互补，,解决人力资源的质量、数量和成本,问题,由协作单位提供,staff,人才服务,，双方共同培养、壮大跨界型人才队伍,通过,staff,模式，深入分解和完善相关业务流程，做到细化、量化和标准化,在此基础上，开发支撑工具，规范流程实施，提高工作效率，强化信息安全性,体制,在,SOC,与风险评估系统中间增加合规与遵从平台，对披露信息进行过滤和脱敏,在合,规与遵从,平台中提供,BI,，整合各有关系统信息，提供直观的多维度的展示,在,该平台,中集成知识库，积累各次内外部测试相关信息，并提供检索,在该平台,中,集成教育培训系统，基于知识库提供培训、实训和远程检测,支撑工具,自主测评工作,的整体解决方案,数据总线,安全运行管理,资产管理,风险管理,桌面安全管理,统一用户管理,配置信息,工作流引擎,事件管理器,数据收集器,评估信息,风险信息,安全事件,访问控制器,数据过滤器,教育培训,智能报表,安全审计,知识库管理,应急管理,问题,机遇,对策,蓝图,自主测评,工作范围,自主测评工作,在系统安全生命周期中的位置,系统定级,系统识别描述,信息系统划分,安全等级确定,安全规划设计,安全需求分析,安全总体设计,安全建设规划,安全设计,安全方案详细设计,等级保护管理实施,等级保护技术实施,等级保护安全测评,安全运维,运行管理和控制,变更管理和控制,安全状态监控,安全应急预案,安全事件处置,自主检查和改善,安全培训,外部安全测评,系统终止,信息转移、暂存或清除,设备迁移或报废,存储介质处置,主导工作,相关工作,合作路线图,确定项目预算和实施计划，落实试点单位,出具详细调研报告，评估项目预算和实施计划,评价试点实施结果并协作改善,派遣咨询人员，调研业务细节，制定服务框架和目录,制定规范性文件和表格，并行模拟操作,评价基础平台的使用效果并提出改善意见,设计开发基础平台，建立数据库,分阶段固化,到基础平台,可持续改善的安全管理,PDCA,系统运维和改善,向基础平台导入历史数据，分批次扩大使用范围,在基础平台上落实内部人员培训和评价体制,安全报表,（自动）,安全报表,（手工）,安全规则,未来的发展趋势,随着硬件、网络成本的下降及软件架构的成熟，数据大集中乃至云计算成为大势,物联网应用范围逐步扩大，越来越多的智能传感器可以通过标准协议进行监控,IT,业内对于下一代架构的认识是,本地负责采集和展示数据,云端负责处理和存储数据,访问环节部署安全管控,统一界面实施运维,立足现状，展望未来,现状：各系统独立运维,未来：统一运维，统一安全,